Analyse d'impact relative à la protection des données (DPIA)

1. Portée et obligation légale

L'article 35 du RGPD impose la réalisation d'une DPIA lorsque le traitement, par sa nature, sa portée ou ses finalités, est susceptible d'engendrer un risque élevé pour les droits et libertés. Afini.ai traite des catégories particulières de données (art. 9 RGPD : traits psychologiques, valeurs, attachement, humour, orientation temporelle, contexte vital) sur lesquelles s'appliquent des algorithmes automatisés. Cette DPIA est donc vivante : elle est révisée au moins chaque année et chaque fois qu'une nouvelle couche, un nouveau modèle ou un changement substantiel de base juridique est introduit.

2. Cartographie du traitement

Identification (e-mail, langue), données de paiement (gérées par Stripe — Bilbao AI ne stocke pas le PAN ni les coordonnées bancaires), réponses aux questionnaires psychométriques, conversations avec l'IA, couches déclarées (vital, rythmes, trajectoire, loisirs, etc.), métriques d'utilisation du proxy LLM et événements d'audit. Sous-traitants : Stripe (paiements), Anthropic (LLM sous DPA — traite uniquement, n'entraîne pas sur ton contenu), Resend (e-mail transactionnel), Holded (facturation TicketBAI), Railway (hébergement européen), Cloudflare (CDN/WAF), Sentry (monitoring européen des erreurs).

3. Risques identifiés

• Risque d'inférence sensible : la combinaison des couches peut révéler des états psychologiques non déclarés explicitement.
• Risque de ré-identification : les données pseudonymisées pourraient être reliées au sujet si elles sont croisées avec des sources externes.
• Risque d'usage secondaire : que des tiers utilisent l'AfiniTwin ou les narratives à des fins autres que celles consenties.
• Risque de biais algorithmique : que les modèles LLM reproduisent des biais lors de l'interprétation du profil.
• Risque de transfert international : bien que le traitement principal soit européen, l'API d'Anthropic traite le contenu sous DPA avec des clauses contractuelles types de l'UE (SCC).

4. Mesures d'atténuation

• Chiffrement en transit (TLS 1.2+) et au repos (AES-256) sur toutes les couches ; ségrégation de la base de données sur infrastructure européenne (Railway eu-west).
• Consentement granulaire et révocable par couche avec audit de chaque modification (voir l'onglet Consentements de ton tableau de bord).
• Minimisation : chaque conversation avec l'IA ne reçoit que le sous-ensemble strictement nécessaire du profil ; le contenu n'est jamais utilisé pour entraîner des modèles.
• Audit des biais sur les prompts du proxy et révision humaine périodique des narratives générées.
• Anonymisation agressive dans les journaux et métriques : hachages salés des IP, sans contenu conversationnel, rétention limitée (90 jours dans Sentry, 30 jours dans les journaux applicatifs).
• Procédure de notification de violation (art. 33 RGPD) en moins de 72 h avec chaîne de garde documentée.

5. Révision et gouvernance

La DPIA est révisée au moins une fois par an et obligatoirement lorsqu'une nouvelle couche, un nouveau modèle ou une fonctionnalité à fort impact (par exemple, l'export à des tiers) est introduit. Le responsable du traitement approuve chaque révision et la date est enregistrée dans le Document de Sécurité. Les utilisateurs professionnels et les entreprises peuvent demander l'accès au résumé étendu en signant un accord de confidentialité.